Skip to main content
OpenAIAnthropicGooglePerplexityMetaMicrosoftAmazonCohere
Infraestructura WordPress lista para IA
seguridad

Seguridad que no depende de la suerte.

Aislamiento por contenedor por sitio, plano de control firmado HMAC, copias de seguridad cifradas, SSL automático — cada afirmación aquí corresponde a un componente real de infraestructura en producción, no a una lista de marketing.

prueba gratis · todos los primitivos de seguridad incluidos en cada plan

liveYovale Seguridad
yovale.com/es/security
señales de seguridad en vivo

Una postura que puede verificar, no suponer.

Cada sitio expone su estado de seguridad actual en el panel — estado TLS, última copia de seguridad exitosa, último parche de seguridad, tasa de inicios de sesión fallidos, bots de IA permitidos. Sin misterios, sin tareas cron ocultas.

Vencimiento TLS
85 días
Última copia
hace 12 min
Inicios fallidos / 24h
0
WP core parcheado
actualizado
eventos de seguridad recientes
live
  • 12:04:22TLS renewal/ acme order completedok
  • 12:03:51Backupr2://yovale-backups/site-87 okok
  • 12:03:18WP coreauto-patch 6.9.2 appliedok
  • 12:02:44Login protectionblocked 12 attempts on wp-loginok
  • 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
1
contenedor Docker por sitio, sin runtime PHP compartido
AES-256
cifrado en reposo de copias de seguridad (Cloudflare R2)
HMAC
plano de control firmado, secretos por servidor
la brecha

La seguridad del alojamiento compartido es una lista de deseos.

×SiteGround$15/mesPHP compartido, escáner de malware de plugin extra
×Kinsta$30/mespool compartido por encima del límite del nivel, DDoS como opción
×WP Engine$25/mescopia hors site en un nivel superior

En la mayoría de los hostings WordPress compartidos, la seguridad consiste en una página de configuración WAF, una copia de seguridad opcional y un plugin de análisis de malware que olvidaste instalar. No existe aislamiento real entre sitios — el plugin comprometido de tu vecino es tu problema.

Los hostings gestionados cobran $25–$50/mes por envolver la misma arquitectura de forma más amigable y luego venden las partes realmente útiles (copias hors site, staging, protección de inicio de sesión, análisis de malware) como opciones adicionales.

Yovale no vende la seguridad como un nivel de funcionalidades. El aislamiento por contenedor, las copias cifradas, la protección de inicio de sesión, el plano de control firmado HMAC y el programa de divulgación forman parte de cada plan desde $149/año. La postura descrita a continuación es la misma que enviamos a cada cliente.

la postura

Cinco primitivos, todos activos por defecto.

Cada tarjeta aquí representa un componente real de infraestructura en producción, no un compromiso de hoja de ruta. Cuando un primitivo es operado por un tercero (Cloudflare, Let's Encrypt), se nombra.

  • 01
    01
    aislamiento

    Un contenedor Docker por sitio

    Cada sitio WordPress se ejecuta en su propio contenedor Docker con sistema de archivos aislado, workers PHP-FPM dedicados, memoria y CPU acotadas. Un compromiso en un sitio no alcanza a otro.

    runtime aislado
  • 02
    02
    edge

    TLS automático a través de Traefik

    Los certificados de Let's Encrypt se emiten y renuevan automáticamente por Traefik en cada dominio que añadas. HTTP/2 y HTTP/3 activos por defecto. Sin renovación manual, sin sorpresas de vencimiento.

    emisión + renovación automática
  • 03
    03
    plano de control

    Plano de control firmado HMAC

    Cada llamada entre el panel y el agente VPS está firmada con un secreto HMAC por servidor almacenado cifrado en la base de datos. El agente rechaza las llamadas no firmadas; el panel rechaza las respuestas no verificadas.

    secretos por servidor
  • 04
    04
    copias de seguridad

    Copias de seguridad hors site cifradas

    Copias diarias de sitio y base de datos a Cloudflare R2 con cifrado AES-256 en reposo. Retención de 30 días en Starter, 90 días en Growth, 365 días en Business. Restauración con un clic desde cualquier punto conservado.

    AES-256, R2
  • 05
    05
    wordpress

    Protección de inicio de sesión y WAF

    Protección contra fuerza bruta en wp-login, bloqueo automático de bots maliciosos conocidos, reglas WAF de Cloudflare ajustadas a los patrones de amenaza de WordPress y aplicación automática de parches de seguridad del núcleo de WordPress.

    WAF optimizado WP
comparación

Lo que un hosting WordPress seguro debería incluir por defecto.

Hosting gestionado típico

Modelo de aislamiento del sitio
pool PHP compartido
Gestión TLS
basado en tickets, SLA 24h
Copias hors site
opción o nivel superior
Firma del plano de control
secretos compartidos en el mejor caso
Protección de inicio de sesión por fuerza bruta
plugin adicional
Programa de divulgación
raro
Resultadoseguridad como upsell

Yovale (por defecto)

Modelo de aislamiento del sitio
1 contenedor Docker por sitio
Gestión TLS
automático vía Traefik + Let's Encrypt
Copias hors site
incluidas, AES-256 en R2
Firma del plano de control
HMAC por servidor
Protección de inicio de sesión por fuerza bruta
integrado, respaldado por Cloudflare
Programa de divulgación
sí, ver sección a continuación
Resultadoseguridad por defecto

stack de seguridad · cómo encaja todo

Tres capas, cada sitio, cada plan.

El stack es idéntico en Starter y Business. Lo único que cambia según el nivel tarifario es la duración de retención de copias. Todo lo demás — aislamiento, TLS, HMAC, protección de inicio de sesión, WAF — es igual en todos lados.

Edge
Runtime
Control
1
capa edge
Edge
Cloudflare + Traefik

Cloudflare gestiona DDoS, WAF y la lista de bots de IA permitidos en el edge global. Traefik en cada VPS gestiona la terminación TLS, HTTP/3 y el enrutamiento de solicitudes hacia los contenedores por sitio.

1
contenedor/sitio
Runtime
Docker por sitio

Cada sitio vive en su propio contenedor Docker con memoria acotada, workers PHP-FPM dedicados, sistema de archivos aislado y su propio contenedor MariaDB. WP-CLI, hooks de actualización automática y cron se ejecutan dentro de este límite.

HMAC
cada llamada
Control
agente + panel

Un agente FastAPI en cada VPS ejecuta el aprovisionamiento, las copias de seguridad, SSL y los cambios de configuración PHP. El panel emite llamadas firmadas HMAC; el agente verifica antes de actuar. Los secretos están cifrados en reposo en la base de datos del panel.

sin tokens bearer compartidos
precios

La seguridad no es un nivel. Es el producto.

Cada plan incluye la postura de seguridad completa descrita arriba. La tarificación solo cambia la duración de retención de copias y el número de sitios. Los niveles de seguridad adicionales no son la forma en que se vende Yovale.

$149
/año

Starter, 2 sitios. Postura de seguridad completa. Copias retenidas 30 días. Growth y Business extienden la retención a 90 y 365 días respectivamente.

Aislamiento Docker por sitioTLS automático vía Let's EncryptPlano de control firmado HMACCopias R2 cifradasProtección de inicio de sesión por fuerza brutaParcheo automático de WP core
Comenzar prueba gratuita
preguntas

Lo que los compradores conscientes de la seguridad preguntan primero.

¿Cómo se aísla un sitio de otro en el mismo VPS?+

Cada sitio tiene su propio contenedor Docker con su propio sistema de archivos, su propio pool PHP-FPM, su propio contenedor MariaDB y su propia memoria acotada. El límite del kernel de Linux es el aislamiento. No hay runtime PHP compartido entre sitios.

¿Dónde se almacenan las copias de seguridad y están cifradas?+

Las copias diarias se almacenan en Cloudflare R2 con cifrado AES-256 en reposo. Las claves de cifrado se gestionan según el contrato estándar de gestión de claves de R2. La retención de copias es de 30 días en Starter, 90 días en Growth, 365 días en Business.

¿Yovale tiene un programa de divulgación de vulnerabilidades?+

Sí. Envíe un informe a security@yovale.com. Respondemos a los informes de divulgación dentro de 5 días hábiles y no emprendemos acciones legales contra investigadores de buena fe que siguen prácticas de divulgación responsable. El momento de la divulgación pública se coordina; mencionamos a los reporteros en el changelog a menos que prefieran lo contrario.

¿Está disponible la autenticación de dos factores en el panel?+

La 2FA basada en TOTP está disponible en cada cuenta del panel y es obligatoria para cuentas con alcance administrativo. Agréguela en Cuenta → Seguridad.

¿Cómo se autentican las llamadas al plano de control?+

Cada VPS tiene su propio secreto HMAC, cifrado en reposo en la instancia Supabase del panel. El panel firma cada llamada al agente con ese secreto; el agente rechaza las llamadas no firmadas o no verificadas. No hay tokens bearer compartidos entre servidores.

¿Qué ocurre si se divulga una CVE contra el núcleo de WordPress?+

Las versiones de seguridad del núcleo de WordPress se aplican automáticamente en toda la flota en pocas horas tras la divulgación. No requerimos acción del cliente para los parches de seguridad del núcleo. Las actualizaciones de temas y plugins permanecen bajo control del cliente porque pueden romper sitios; las actualizaciones disponibles se muestran en el panel.

¿Dónde puedo leer más detalles contractuales?+

En el Acuerdo de Procesamiento de Datos y el Acuerdo de Licencia de Usuario Final enlazados en el pie de página. El DPA cubre subprocesadores, medidas de seguridad, plazos de notificación de brechas y transferencias internacionales.

cierre

Migre un sitio y compruebe la postura usted mismo.

Siete minutos de migración, siete días de prueba. Cada primitivo de esta página está activo en el primer sitio que aprovisione — nada que activar, sin ventas adicionales.

Comenzar prueba gratuita
prueba gratis · todos los primitivos de seguridad incluidos en cada plan